Z najnowszych raportów instytutów naukowych i firm zajmujących się bezpieczeństwem w sieci wynika, że cyberprzestępcy wykorzystują koronowirusa do zdobycia poufnych danych. Potencjalnych ofiar jest znacznie więcej, bo liczba osób korzystających z sieci nagle się zwiększyła. Firmowe działy IT musiały też z dnia na dzień przestawić się na zapewnienie bezpieczeństwa pracującym poza biurami, którzy nie muszą zdawać sobie sprawy z tego, jak prosto można stracić login i hasło. Rozwiązania techniczne, np. programy antywirusowe, sieci VPN, podwójne uwierzytelnianie pomagają zadbać o bezpieczeństwo, ale najważniejsze jest zwiększenie świadomości. To ważne, bo za wyciek danych grożą wysokie kary nakładane przez prezesa Urzędu Ochrony Danych Osobowych, o czym przekonała się między innymi spółka morele.net.
Uwaga na maile tematycznie związane z Covid-19
Od kwietnia do czerwca 2020 roku eksperci CERT Polska, czyli zespołu powołanego przy Państwowym Instytucie Badawczym NASK do reagowania na zdarzenia naruszające bezpieczeństwo w sieci internet, zarejestrowali 9 689 zgłoszeń - to 41 proc. więcej niż pierwszym kwartale. W tym czasie wzrosła też o 9 proc. liczba incydentów i wyniosła 2 723. Na liście zagrożeń w dalszym ciągu wysokie miejsce zajmuje phishing, czyli wyłudzenia poufnych danych, np. loginu i hasła poczty, konta w portalu społecznościowym czy innego systemu. Na koniec czerwca br. odnotowano ich aż 2 056, czyli o 17 proc. więcej, niż w pierwszym kwartale.
Czytaj w LEX Kolejne wyzwania w zarządzaniu ryzykiem. Wytyczne EBA w sprawie ryzyk IT oraz bezpieczeństwa >
Z kolei z opublikowanego we wrześniu specjalnego raportu amerykańskiej firmy Verizon o wpływie pandemii na bezpieczeństwo danych, wynika, że przeniesienie naszej aktywności, zarówno zawodowej jak i prywatnej do sieci, chroni nas przed koronowirusem, ale naraża na cyberatak. - Cyberprzestępcy wykorzystali zakłócenia i niepewność spowodowane przez COVID-19 – wskazuje Phillip Larbey dyrektor zarządzający na Europę, Bliski Wschód i Afrykę w Verizon Enterprise Solutions. Okazuje się, że od marca do czerwca przestępcy internetowi powszechnie używali wiadomości phishingowych ze słowami: koronawawirus, maski, test, kwarantanna i szczepionka. Co więcej, e-maile phishingowe powiązane z Covid-19, miały wyższą klikalność, zdarzało się, że nawet o ponad 50 proc. Tymczasem pracownik, który został oszukany i kliknął złośliwy odsyłacz lub otworzył zainfekowany załącznik, zapewni atakującemu wstępny dostęp do systemu.
Niedawno Microsoft wykrył nową akcję phishingową, w której napastnicy rozsyłają e-maile „WHO COVID-19 situation report”. Odbiorca otwierając plik, zawierający wykres rzekomo przedstawiający stan epidemii w USA, pobiera złośliwe oprogramowanie, a zainfekowany komputer łączy się z centrum kontroli i oczekuje na dalsze polecenia hakera.
Czytaj w LEX: Okiem IOD-a: strona internetowa zgodna z przepisami o ochronie danych osobowych >
- Dzięki uzyskanemu w ten sposób dostępowi do sieci firmowej, cyberprzestępcy mogą próbować uzyskać większe uprawnienia i przeniknąć do innych systemów, serwerów czy aplikacji firmowych. Jednocześnie idąc dalej, napastnicy próbują instalować programowanie typu malware na systemach wewnętrznych, aby uzyskać stały i, co gorsza, niewidoczny dostęp do sieci – czytamy w raporcie. Phishing to zatem wstęp do dalszych działań cyberprzestępców. - Historycznie złośliwe oprogramowanie miało tylko coś zniszczyć na komputerze. Teraz zwykle ma przynieść korzyści jego twórcy, najczęściej finansowe - wyjaśnia Przemysław Jaroszewski, szef CERT Polska. Jak? Najpierw wykradają dane lub je szyfrują, a potem żądają okupu, aby ta informacja nie poszła w świat.
Czytaj w LEX: Zasady zapewniania bezpieczeństwa danych osobowych w firmie >
Cena promocyjna: 116.1 zł
|Cena regularna: 129 zł
|Najniższa cena w ostatnich 30 dniach: 90.3 zł
Jak się bronić przed utratą danych
Autorzy raportu Verizon wskazują, że główną przyczyną incydentów jest błąd ludzki i obciążenie pracą działów IT. Podkreślają, że łatwiej jest zabezpieczyć sieć, gdy wszyscy są w biurze. Gdy większość pracuje zdalnie, jest to prawdziwe wyzwanie, zwłaszcza jeśli nie wszyscy korzystają z firmowego sprzętu. W jego sprostaniu pomagają bezpieczne sieci VPN, programy antywirusowe, korzystanie z bezpiecznej chmury czy podwójne uwierzytelnianie. To ostatnie rozwiązanie, które zaleca między innymi Urząd Ochrony Danych Osobowych, wkrótce będzie też dostępne w produktach Wolters Kluwer Polska (WKP).
- Wprowadzamy dwustopniowe logowanie do naszych produktów, bo chcemy wzmocnić ochronę danych użytkowników oraz dokumentów, jakie tworzą i przechowują - mówi Jacek Żmuda, dyrektor redakcji publikacji elektronicznych w Wolters Kluwer Polska.
- Naszymi głównymi użytkownikami są między innymi prawnicy, którzy szczególnie muszą dbać o bezpieczeństwo. Korzystając z LEX, zostawiają historię przeszukiwanych dokumentów, mogą stworzyć własny pulpit, terminarz, dodawać notatki. W strefie LEX Cloud mogą tworzyć własne dokumenty, np. pisma procesowe, udostępniać je współpracownikom. LEX ma zatem wiele rozwiązań, które gromadzą i przechowują ważne informacje o użytkownikach programu, jak i ich klientach, które zdecydowanie warto w sposób szczególny chronić -podkreśla Jacek Żmuda.
Czytaj w LEX: Prawo do przenoszenia danych czyli jak przenieść dane od jednego administratora danych do drugiego >
W dzisiejszych czasach przechowywanie danych w chmurze, dodatkowo zabezpieczonej przez dwustopniowe uwierzytelnianie, jest o wiele bezpieczniejsze, niż zapisywanie je lokalnie na komputerze. W produktach WKP w pierwszej kolejności nowy użytkownik zaloguje się za pomocą loginu i hasła, w drugim etapie będzie mógł dodać, np. komputer, tablet, smartfon, do listy zaufanych urządzeń. Przechwycenie hasła i loginu wówczas nie wystarczy, by dostać się do systemu. Będzie trzeba to jeszcze zrobić z konkretnego sprzętu. Joanna Konieczna-Sielska, dyrektor działu obsługi i logistyki klienta w WKP dodaje, że projektując dwustopniowe logowanie, bardziej kierowano się potrzebami klientów, niż przyjętym na rynku modelem chociażby dla banków. - Chcieliśmy, by dwustopniowe logowanie nie przeszkadzało w pracy, nie wymagało dodatkowych czynności, bo wiemy, że użytkownicy łączą się z LEX w różnych miejsc i z różnych urządzeń - dodaje. Dlatego można spersonalizować panel do zarządzania zaufanymi urządzeniami i w łatwy sposób zarządzać nimi, a automatyczny system powiadamiania informuje o każdej zmianie.
Zobacz procedurę w LEX: Zapewnienie bezpieczeństwa przetwarzania danych osobowych >
Świadomi pracownicy są bardziej ostrożni
Eksperci zgodnie przyznają, że działania techniczne, to nie wszystko. - Trzeba zacząć od zwiększenia świadomości załogi - radzi Przemysław Jaroszewski, szef CERT Polska.
Brytyjska firma Keepnet Labs zajmująca się przeciwdziałaniem phishingowi, która bada jakie grupy pracowników są najbardziej podatne na ataki, wysłała „wiadomości-pułapki” do 410 tys. osób. 50 proc. odbiorców otworzyło maile, aż 32 proc. kliknęło załącznik lub odsyłacz do strony internetowej, zaś 13 proc. udostępniło poufne informacje, umożliwiając w ten sposób przeprowadzenie udanego ataku.
Czytaj w LEX: RODO w IT: chmurowe przetwarzanie danych osobowych - typy chmur oraz ich wady i zalety >
Najbardziej podatni na działania internetowych przestępców okazali się pracownicy zajmujący się zarządzaniem jakością, opieką zdrowotną, zakupami i sprawami administracyjnymi, kontrolą wewnętrzną i zagadnieniami prawnymi, zasobami ludzkimi oraz badaniem i rozwojem. Najbardziej odporni są informatycy i finansiści. Dlatego ważne jest, by uświadamiać pracowników, jakie zachowania są bezpieczne. Oczywiste jest, że nie można otwierać maili i załączników od nieznanych adresatów, zwłaszcza gdy uruchamiają makra oraz nie klikać w linki przesłane w takich wiadomościach.
Czytaj w LEX: RODO w IT: wymogi RODO, a projektowanie rozwiązań IT >
Urząd Ochrony Danych Osobowych radzi także m.in.: blokować urządzenie każdorazowo, gdy się od niego odchodzi, upewnić się, że urządzenia mają niezbędne aktualizacje systemu operacyjnego, oprogramowania i systemu antywirusowego, stosować silne hasła dostępu, wielopoziomowe uwierzytelnianie, bezpiecznie archiwizować dane, jeśli nie korzysta z rozwiązań chmurowych albo nie ma dostępu do sieci, hasła do zaszyfrowanych wiadomości przesyłać odrębnie – najlepiej innym kanałem komunikacji.
Czytaj w LEX: RODO w IT: atak hakerski i co dalej? >
Maciej Gawroński, radca prawny i ekspert od cyberbezpieczeństwa, nie ma wątpliwości, że najlepszym zabezpieczeniem antywirusowym, jest sam użytkownik, który uważa na to gdzie klika i co pobiera, gdzie się loguje (np. w pociągu, gdy siedzący obok pasażer wszystko widzi i być może notuje), czy zgadza się na zapamiętanie hasła na nieznanym urządzeniu itp.
Zobacz nagranie szkolenia w LEX: Gawroński Maciej, Pierwsza kara nałożona przez PUODO - czyli co musisz wiedzieć o realizacji obowiązku informacyjnego i sankcjach jakie grożą za jego niewypełnienie? >